Studopediya

КАТЕГОРИЯ:


Астрономия- (809) Биология- (7483) Биотехнологии- (1457) Военное дело- (14632) Высокие технологии- (1363) География- (913) Геология- (1438) Государство- (451) Демография- (1065) Дом- (47672) Журналистика и СМИ- (912) Изобретательство- (14524) Иностранные языки- (4268) Информатика- (17799) Искусство- (1338) История- (13644) Компьютеры- (11121) Косметика- (55) Кулинария- (373) Культура- (8427) Лингвистика- (374) Литература- (1642) Маркетинг- (23702) Математика- (16968) Машиностроение- (1700) Медицина- (12668) Менеджмент- (24684) Механика- (15423) Науковедение- (506) Образование- (11852) Охрана труда- (3308) Педагогика- (5571) Полиграфия- (1312) Политика- (7869) Право- (5454) Приборостроение- (1369) Программирование- (2801) Производство- (97182) Промышленность- (8706) Психология- (18388) Религия- (3217) Связь- (10668) Сельское хозяйство- (299) Социология- (6455) Спорт- (42831) Строительство- (4793) Торговля- (5050) Транспорт- (2929) Туризм- (1568) Физика- (3942) Философия- (17015) Финансы- (26596) Химия- (22929) Экология- (12095) Экономика- (9961) Электроника- (8441) Электротехника- (4623) Энергетика- (12629) Юриспруденция- (1492) Ядерная техника- (1748) Arhitektura- (3434) Astronomiya- (809) Biologiya- (7483) Biotehnologii- (1457) Военни бизнесмен (14632) Висока technologies- (1363) Geografiya- (913) Geologiya- (1438) на държавата (451) Demografiya- ( 1065) Къща- (47672) журналистика и смирен (912) Izobretatelstvo- (14524) външен >(4268) Informatika- (17799) Iskusstvo- (1338) историята е (13644) Компютри- (11,121) Kosmetika- (55) Kulinariya- (373) културата е (8427) Lingvistika- (374) Literatura- (1642) маркетинг-(23702) математиците на (16968) Механична инженерно (1700) медицина-(12668) Management- (24684) Mehanika- (15423) Naukovedenie- (506) образователна (11852) truda- сигурност (3308) Pedagogika- (5571) Poligrafiya- (1312) Politika- (7869) Лево- (5454) Priborostroenie- (1369) Programmirovanie- (2801) производствено (97 182 ) индустрия- (8706) Psihologiya- (18388) Religiya- (3217) Svyaz (10668) Agriculture- (299) Sotsiologiya- (6455) на (42831) спортист строително (4793) Torgovlya- (5050) транспорт ( 2929) Turizm- (1568) физик (3942) Filosofiya- (17015) Finansy- (26596) химия (22929) Ekologiya- (12095) Ekonomika- (9961) Electronics- (8441) Elektrotehnika- (4623) Мощност инженерно ( 12629) Yurisprudentsiya- (1492) ядрена technics- (1748)

шлюзове




За локални мрежи, които използват различни протоколи за обмен на информация помежду си и с глобалната мрежа има устройства, които превръщат един вид протокол към друг. Такива устройства се наричат мрежови шлюзове. Gateways могат да бъдат под формата на хардуерно устройство или софтуер.

Най-честата шлюза - този софтуер е инсталиран на вашия компютър или рутер. Абсолютно всички операционни системи са снабдени с такъв софтуер. Като глобална мрежа от информация, sformatiroavnnuyu под един протокол шлюз го преобразува в друга информация протокол може след това да се преформатира да изпраща информация към друг сегмент на мрежата.

Помислете принципа на данни по мрежата, през портала. Например, мрежов порт - точка на разпределение, която получава информация от глобалната мрежа и го преобразува в информация, че има смисъл да се ползватели на мрежата. Маршрутизаторите в мрежата изпращат и получават информация само между локални мрежи, които използват същите протоколи. Gateways обикновено са по-бавни от комутатори или маршрутизатори.

Има един универсален портал за корпоративна мрежа - софтуерен пакет Internet Control Server. Този портал осигурява пълен контрол на мрежа от компютри, свързани с Интернет, е персонално внимание на трафика.

Операционната система Windows обикновено е вграден в съветника, за да се свърже с мрежата. След като отговорите на няколко въпроса, вие получавате автоматично конфигуриране на софтуер за комуникация с местната или широка мрежа. Способността на тези системи да се използва DHCP протокол дава възможност за добавяне на нови устройства и компютри в мрежа, както и за разширяване на мрежата е много проста, почти автоматично.

Опции за мен производителност

Има два основни варианта ME версии - софтуер и хардуер и софтуер. На свой ред, хардуер и софтуер версия има две версии - като специален отдел или като модул в рутера или ключа.

В момента, по-често се използва софтуерно решение, което на пръв поглед изглежда по-привлекателна. Това се дължи на факта, че прилагането му е достатъчно, изглежда, само за да купуват софтуер (софтуер) защитна стена и да го инсталира на всеки компютър във вашата организация. На практика обаче това не е винаги в организацията е свободен компютър, който отговаря на достатъчно високите изисквания за системни ресурси. Ето защо, едновременно с придобиването на софтуер, придобит и на компютъра, за да го инсталирате. След това идва процеса на инсталиране на операционната система на вашия компютър (OS) и неговата конфигурация, която също изисква време и заплащане на инсталатора. И само тогава инсталиран и конфигуриран чрез системи за откриване на проникване. Лесно е да се отбележи, че използването на обикновен персонален компютър не е толкова лесно, колкото изглежда на пръв поглед.



Поради това, през последните години се е увеличил интересът на софтуерни и хардуерни решения, които постепенно заменят "чист" софтуерни системи. Широкото започнали да получават специализирани хардуерни и софтуерни решения, наречени уред за сигурност. Софтуер и хардуер защитна стена обикновено се състои от компютър, както и да функционира на своята операционна система и специален софтуер. Трябва да се отбележи, че този специален софтуер често се нарича защитна стена. Компютърът използва трябва да е достатъчно мощен и физически защитени, например, разположен в определен и пазена стая. В допълнение, той трябва да има средства за защита срещу неоторизиран подкрепа изтегляне OS. Хардуерни и софтуерни системи използват специализиран софтуер или конвенционален (обикновено се основава на FreeBSD, Linux, или MicrosoftWindows NT (2000)), "гарнирани" за изпълнение на определени функции и да отговарят на редица изисквания:
• да има средство за достъп до ресурсите на системата;
• блок достъп до компютърни ресурси, заобикаляйки условие софтуер интерфейс;
• забранява привилегирован достъп до ресурсите на локалната мрежа;
• да включва средства за мониторинг / одит на всяко административно действие.

Предимства на специализирани софтуерни и хардуерни решения:

• Лесна за изпълнение на обработка на информационните технологии. Такива средства се доставят с предварително определена и персонализирани защитни механизми на операционната система и, така че е необходимо само да ги свържете към мрежата, която се извършва в продължение на няколко минути;

• Лесно управление. Тези средства могат да бъдат управлявани от всяка работна станция работи Windows 9x, NT, 2000, или Unix. Взаимодействие Конзолата за управление с устройството се осъществява или чрез стандартни протоколи, като например Telnet или SNMP, или с помощта на специализирани или протоколи за сигурност, като SSH или SSL;

• отказоустойчивост и висока надеждност. Изпълнение на DOE под формата на специализиран софтуер и хардуер позволява да приложат механизми, за да се гарантира не само софтуера, но и толерантността на хардуер вина и високо наличността;

• Висока производителност и надеждност. С премахването на всички от операционната система "ненужни" услуги и подсистеми, софтуер и хардуер работата по-ефективно от гледна точка на производителност и надеждност;

• специализация в защита. Решението само проблеми с мрежовата сигурност не водят до разходи за ресурси, за да изпълнява и други функции, като например маршрутизация и т.н.

В момента, често използван подход за изграждане на критерии за оценка на средствата за информация и компютърна сигурност е да се използва набор от нареди в определен изисквания за системите за сигурност, тяхната ефективност и ефикасност на изпълнението начин за качество. Този подход се поддържа в държава Техническа комисия на Русия ръководство посредством компютърни съоръжения на. Защитните стени. Защита срещу неоторизиран достъп до информация. Показатели за сигурност срещу неоторизиран достъп до информация, която се създава класификация на защитните стени на нивото на защита срещу неоторизиран достъп до информация. Тази класификация се основава на списъка на параметрите за защита и описване на съвкупността от техните изисквания.

показатели за сигурност, използвани за защитни стени, за да се определи нивото на защита, които те предоставят взаимно свързване. Конкретни списъци с показатели определят класовете на защитни стени в компютърни мрежи осигуряват сигурни. Разделете на защитната стена на съответните класове от информация за контрол на нивото шлюз потоци, необходими, за да се развие и да направят информиран и икономически ефективни мерки за постигане на необходимата степен на защита, докато информацията съвместна работа.

Определете 5 класа на защитни стени за параметри за сигурност. Най-ниската класа на петия сигурност се използва за осигуряване на взаимодействието на автоматизирани системи (AS) клас 1Е с външната среда, четвъртият за 1G, 1B, трета, втора 1Б, най-високото използвано за първи път, за да комуникират сигурно AU клас 1А с външната среда. Когато защитната стена AU определен клас на сигурност, агрегат система клас на сигурност, получена от източник, като я добавите към защитната стена не трябва да се откажа. За AC клас 3B, 2B да се приложи защитни стени не са под 5 клас. За AU Клас 3A, 2А, в зависимост от важността на обработваната информация, защитни стени трябва да се прилагат следните категории:

  • обработката на класифицирана информация, най-малко 3 клас;
  • при обработката на информация, класифицирана Top Secret е не по-нисък от клас 2;
  • обработката на информация с печата на не по-малко от 1 клас от особено значение.

за защитни стени за изискванията за клас на защита са дадени в таблица. 1.

Списъкът с показатели защитни стени за класове за сигурност

показатели за сигурност
Контрол на достъп (филтриране на данни и адрес превод) + + + + =
Идентифициране и удостоверяване - - + = +
регистрация - + + + =
Администрация: идентификация и автентификация + = + + +
Администрация: Регистрация + + + = =
Администрация: Лесна употреба - - + = +
интегритет + = + + +
възстановяване + = = + =
тестване + + + + +
Ръководство за защита на администратор + = = = =
Документацията на тест + + + + +
проектиране (дизайн) документация + = + = +

Легенда:

- Няма изисквания за този клас;
+ Нова или допълнителни изисквания;
= Изисквания съвпадат с изискванията на предходния клас ME

А броят на пейка тестове и експерименти, провеждани в компанията Eureka показаха, че заслужават да бъдат кандидати за ефективен достъп очертаване интранет са защитни стени BorderManager Novell и Firewall-1 компания Check Point Software Technologies. Те гарантират, че всички основни функции за защита на работещи съвместно.

BorderManager важно предимство е възможността да се контролира по-голямата част от нейните подсистеми чрез NDS услуга директория, която има много удобни инструменти за администриране. Управление Tabs са прозорци, подробно описани свойства на Netware сървър и контейнери, които предоставят възможности за управление шлюз верига ниво, посредници на ниво приложение и виртуални частни мрежи. BorderManager Firewall поддържа различни режима на филтриране на пакети в мрежовия слой. С верига ниво шлюз (IPX / IP и IP / IP) има способността да контролира достъпа на потребителите на ниво шлюз (и потребителски групи) NDS, а не само към IP слой / IPX-адресите на компютрите. Тя поддържа широк набор от посредници приложения, които осигуряват контрол на достъпа на нивото на приложни услуги (HTTP с HTTPS и SSL, FTP, SMTP / POP3, DNS, SOCKS 4, чорапите 5, и др.).

Firewall Firewall-1 компания Check Point Software Technologies е защитната стена на експертно ниво, който реализира разширено филтриране на пакети технология за контрол на състоянието на връзката (Stateful инспекция Technology). Филтрирането се основава на специални методи за многостепенно пакет анализ състояние (Stateful Multi-Layer Техника SMLT). Тази хибридна технология ви позволява да следите състоянието на мрежовата връзка, прихващане на пакети в мрежовия слой, и като ги извадите от информацията на приложния слой, който се използва за контрол на връзката. Едно бързо сравнение на преминаване на пакет с известно състояние (състояние), щадящи пакети, може значително да намали времето за обработка в сравнение с приложение на ниво посредници.

Целта на тази лекция - говорим за защитни стени.

В съответствие с целта на който има следните задачи:

- Изследване на понятието и същността на защитната стена;

- Говорете за това как да се заобиколят защитната стена;

- Да се ​​говори за проблемите на изграждането на защитни системи.

1. Понятието и същността на защитната стена

защитна стена проблем е формулиран, както следва. Да предположим, че имаме две информационни системи или два комплекта информационни системи. Screen (защитна стена) - е средство за разграничаване от един клиентски достъп множество системи за информацията, съхранявана на сървърите в другата група.

Екранът изпълнява своите функции по наблюдение на всички информационни потоци между тези две групи от информационни системи, работещи като един вид "информация мембрана". В този смисъл, на екрана може да се представи като набор от филтри, които анализират информацията, която преминава през тях, и, въз основа на техните присъщи алгоритми, отговорните лица: дали да пропуснете тази информация или да отрече своята пратка. В допълнение, системата може да извършва регистрирането на събития, свързани с процесите на диференциация на достъп, по-специално, за да се определи всички "незаконни" опитва да получи достъп до информация и, в допълнение, за да сигнализира ситуации, които изискват незабавен отговор, че е, да се повиши алармата.

Обикновено пресевни системи правят небалансирани. За екрани дефинират понятията "вътре" и "вън", екран и задачата е да защитава вътрешната мрежа от "потенциално враждебна" среда. Най-важният пример на потенциално враждебна външна мрежа е Интернет.

Защитната стена или защитната стена - едно от най-ефективните начини за защита на вашата мрежа от неоторизиран достъп (неоторизиран достъп), и вируса на DoS (или DDoS) атаки. Защитната стена често се определя като набор от инструменти, които съществуват, за да се забрани неоторизиран достъп до локалната мрежа или от изтичане на информация от мрежата. Екранът е разположен на границата на защитената мрежа и филтри на всички входящи и изходящи данни, отдаване под наем разрешено само. Тази защитна стена може да бъде инсталиран на отделните компютри и корпоративни мрежи, за да се ограничи достъпа на потребители до определени сайтове и данни.

Защитната стена може да се счита за ефективно, ако то отговаря на следните изисквания:

- Защитната стена трябва да се филтрират всички данни входящи / изходящи от мрежата.

- Сам стена могат да бъдат достъпни или от външната или от вътрешната мрежа.

В началото на корпоративната мрежа на всяка компания, които са имали достъп до интернет, оборудвана с екран. Въпреки това, тъй като броят на клоновете и падащите цени на цифровите линии XDSL и Т1 много големи предприятия позволяват на отдалечените офиси да се свързват към Интернет мрежата (както и други мрежи) директно, а не през главния корпоративна защитна стена. Това явление е необходимо централизирано управление на политиката за сигурност за всички защитни стени. В резултат на това има три категории защитни стени:

  • Защитните стени за бизнеса
  • Защитните стени приложения
  • Вградена защитна стена

Нека разгледаме накратко всяка една от тях.

Защитните стени за бизнеса

Тази категория е набор от софтуер и хардуер, обикновено заемащ едно работно място. Това се дължи на факта, че пада повече от 100 работни места, с достъп до външната мрежа под закрилата на екрана.

Защитните стени могат да филтрират търсенето на голям брой различни видове и протоколи, подходящи за организиране на фирми в неговите възможностите на мрежата за е-бизнес. Също екрани тази категория подкрепа на управлението на всички защитни стени (защитни стени дъщерни дружества) от една конзола и подкрепи разпределена архитектура. Разходни екрани тази категория варира от 10 m $. За $ 30 m.

Защитните стени приложения

Тези екрани обикновено работят по своя хардуер. За ръчно нанасяне, на екрана не изисква познаване на операционната система.

Защитните стени тази категория могат да бъдат класифицирани, както следва:

  • Watchers (до ключ решения) - инсталирани на компютърната система с тази операционна система.
  • Екрани с увреждания (не съвсем-защитни стени) - използвани за защита на конкретни платформи и е прокси.
  • Пълнофункционален екран (направи си всички защитни стени) - което представлява Интернет / Интранет сървъри (WEB / DNS / поща). Защитните стени тази категория могат да бъдат разделени на два сегмента. Секторните евтини екрани, които се използват за задаване на правила за сигурност прост, най-вече да се следи входящ или изходящ трафик. И сегмента на скъпите екрани, които осигуряват на пълната функционалност на защитна стена с интегрирани способности VPN.

Вградена защитна стена

Вградена защитна стена е набор от инструменти, за да изпълняват функции на защитната стена, интегрирани в устройството (вградено устройство), изпълнява други функции, както добре. Тези екрани състоят главно от лични екрани, но екрани са разработени на IC, които могат да бъдат включени в модем или мрежова карта. Основни функции:

· Ниска цена

  • прозрачност
  • Възможност за работа с централно управление

Разпределени защитни стени

Появата на допълнителни видове не е посочено по-горе, поради няколко сесии за достъп до мрежата, както отвън, така и отвътре. Разпределени защитни стени са разположени по периметъра на корпоративната мрежа - на уеб-сайтове, персонални компютри, модеми и т.н. Основната идея на разпределени защитна стена - да се осигури ниво на защита срещу хакери, систематично заобикаляйки традиционната :-) защитна стена. Структурно инсталирана защитна стена на работни станции за потребители, така и сървъри за приложения. Резултатът е доста голям брой защитна стена. Те всички са централизирани и управление и настройки. Както традиционната защитна стена, разпределени защитна стена за ограничаване на движението, като се ръководи от правилата за контрол на достъпа. правила за контрол се използват за определяне какви типове данни могат да се предават в определени посоки и в определени моменти. За защитна стена, разположена на сървъри за приложения, достъп се определя на ниво протокол, и позволява на администраторите да видят какъв набор правила.

Традиционна защитна стена, за да се ограничи трафика към определена "точка" мрежов интерфейс, контрол и проверка на входящи и изходящи потоци. При висока активност (например, DoS) може да се провали или бавни процеси на обмен на информация. Разпределени защитна стена разпространи този товар на различни компютри, което дава възможност за по-голяма стабилност на DoS и DDoS атаки. В допълнение структурата на разпределени защитната стена ви позволява да филтрирате вътрешния мрежовия трафик.

Има два основни начина за създаване на набори от правила на защитната стена: '' включително '' и '' елиминиране ". Изключване на защитната стена позволява на целия трафик с изключение на трафик, съответстваща на набор от правила. Включвайки защитна стена работи по обратния начин. Тя позволява само трафик съвпадение правила и блокира всичко останало.

Включително защитни стени обикновено по-безопасни от изключителен, тъй като те значително да намали риска от пропускане на врата екран нежелан трафик.

Сигурност може да бъде допълнително подобрена с използването на '' защитна стена с динамична защитна ''. Тази защитна стена пази информация за отворени връзки и само позволява трафик през отворени връзки, или откриването на нови съединения. Липсата на защитна стена с динамична защитна с това, че могат да бъдат уязвими на DoS атаки (отказ от обслужване, отказ на услуга), ако много нови връзки отваря много бързо. Повечето защитни стени позволяват да комбинирате поведението на динамична защитна и без гражданство, което е оптимално за реалния свят приложения.

2. Начинът, по линия на защитната стена

Както е известно, защитни стени, както и други средства за защита, създадени от хора. И хората правят грешки, дори и експерти в областта на сигурността на данните. Този факт се използва от много хакери.

Алексей Викторович Лукацкий, заместитель технического директора Научно-инженерного предприятия "Информзащита" (Москва), сертифицированный инструктор по безопасности компании Internet Security Systems, сертифицированный инженер по безопасности компании Check Point Software в своей работе, посвященной выявлению недостатков МСЭ, считает, что не стоит пытаться проникнуть к защищаемым ресурсам через защитные средства, когда можно попытаться обойти их. Он иллюстрирует свое утверждение примером из смежной области: «21 февраля 1990 г. Мэри Пирхем, аналитик по бюджету одной американской компании, пришла на работу. Однако она не смогла пройти на свое рабочее место даже после набора четырехзначного кода и произнесения кодового слова в системе контроля доступа. Желая все-таки попасть на работу, Мэри обошла здание и открыла дверь черного хода при помощи пилки для ногтей и пластмассовой расчески. Новейшая защитная система, которую обошла Мэри Пирхем, рекламировалась как «безотказная и надежная» и стоила несколько десятков тысяч долларов.» Аналогично и с межсетевыми экранами, только роль черного хода может выполнять модем. При обследовании одной сети начальники отдела защиты информации и автоматизации утверждали, что они знают все до единого модема, установленные в их сети. Запустив систему анализа защищенности Internet Scanner, были действительно обнаружили указанные ими модемы, используемые для обновления баз данных бухгалтерской и юридической систем. Однако было обнаружено и два неизвестных модема. Один использовался сотрудником аналитического отдела с целью получения доступа к рабочим каталогам из дома. Второй модем использовался для доступа в Internet, в обход межсетевого экрана.

С възможността за заобикаляне на МСД и други, свързани с пример. Не само, че винаги заплахата от външната страна на ITU, мрежата на Интернет. Голяма част от загубите в резултат именно за инциденти на защита от вътрешни потребители (според статистиката - до 80% от инцидентите са с произход от вътре). Следва да се уточни, че защитната стена изглежда само при движението по границите между вътрешната мрежа и Интернет. Ако трафикът с помощта на "дупките" в защита, никога не преминава през защитната стена, МСД и не намери никакви проблеми. През 1985 г. в една от руските корабостроителници е бил изложен на престъпна група от над 70 (!) Хората, които по време на 1981-1985. чрез въвеждането на информационна система за изчисляване на заплатите на фалшиви документи отвлечени повече от 200 хил. рубли. Подобни случаи са били регистрирани в заводите на Ленинград и Горки. Никой не може, дори и най-ефективна защитна стена, са били в състояние да открива такива дейности.

Но дори гледане на движението по границата между вътрешни и външни мрежи не може да гарантира пълна защита. Защитната стена филтрира трафика и да вземе решение относно пакетите с пропуск или блок мрежа въз основа на информацията, използвана от протокола. Като правило, правилата предвиждат подходящи проверки, за да се определи дали или не към определен протокол. Например, ако ITU решен 25 и 80 пристанища, като по този начин се оставя да премине в вътрешната мрежа на поща (SMTP) и уеб (HTTP) трафик. Той е този принцип на обработка и се използва от знаещи натрапници. Всички неразрешени дейности, извършвани в рамките на разрешения протокол, създавайки по този начин в него тунел, през който нападателят и прилагане атака. Най-прост пример демонстрира използването на тунели - интернет-червеи и макро вируси, записана в корпоративната мрежа като прикачени файлове (прикачени файлове) в съобщението за електронна поща. Ако защитната стена позволява преминаването на SMTP-трафик е вътрешната мрежа и може да се получи "вирусна инфекция". Също така например е атаката Локи, че ви позволява да тунелни различни команди (например, искане за предаване на парола на файла / и т.н. / ако съществува) в искането ICMP исканията ехото и отговорите към тях в отговор ICMP Echo отговор.

Много често от устата на много вътрешни VPN означава, разработчиците могат да бъдат изслушани, че средствата за изграждане на виртуални частни мрежи, разработени тя е в състояние да реши много от проблемите на сигурността. Те се свеждат до факта, че след като защитена мрежа комуникира с опонентите си (отдалечени офиси, партньори, клиенти и т.н.) само в VPN-връзка, тогава няма "инфекция", че няма да проникне. Това е отчасти вярно, но само при условие, че противниците, а също и никой да комуникират през незащитени канали. И това е трудно да си представим. И тъй като повечето организации използват криптиране за защита на външни мрежови връзки, интерес на нападателя ще бъде насочена към онези места в мрежата, където информация от интерес за него най-вероятно не е сигурна, че е, да дяловете или мрежи, които инсталирани доверени отношения. И дори и в случай на VPN-връзки между периметъра на мрежата с помощта на ITU VPN функции, както и голямо доверие мрежа, нападателят ще бъде в състояние да със същата ефективност, за да изпълни своите атаки. Нещо повече, ефективността на своите атаки ще бъде още по-висока, защото често на изискванията за безопасност на доверени хостове и мрежи е много по-ниски, отколкото всички други възли. Един хакер може да проникне до доверен мрежа, и едва след това от нея, за да изпълняват своите злонамерени действия във връзка с целта на атаката си.

Измама - е начин да се скрие адрес на недвижими нападателя. Въпреки това, той може да се използва за заобикаляне на защитната стена механизми за защита. Такъв един прост начин да се замени източник адреса на пакета мрежа на адреса на защитената мрежа не може да подведе съвременните защитни стени. Всички те използват различни начини, за да се предпазите от този вид на смяна. Въпреки това, на принципа на заместване адреси все още остава актуален. Например, атакуващият може да изигравам недвижими адреса си на адреса на възела, който има голямо доверие отношения с атакуван система и да приложи една атака като "отказ от обслужване" върху него.

Защитните стени често са сами под атака. Атакуване на ITU и го изгони на действие, нападателите могат безопасно, без страх да не бъдат открити, за да реализират своите престъпни планове срещу ресурсите на защитена мрежа. Например, тъй като началото на 2001 г. много уязвимости са били открити в изпълнението на различни известни защитни стени. Например, на грешното лечение на TCP-пакети с ECE флага ITU ipfw или ip6fw позволява отдалечен хакер да заобиколят правилата, създадени. Друг уязвимост е била открита в защитна стена BorderWare Firewall сървър 6.1.2. Използването на тази уязвимост, свързана с предаването чрез изпращане на ICMP Echo Заявка заявка доведе до наличието на нарушение ITU BorderWare. Страната не остават други защитни стени - Cisco Secure Pix на защитната стена, WatchGuard горивната камера и т.н.

По-голямата част от защитните стени се основава на класически модели за контрол на достъпа, предназначени през 70-те, 80-те години на миналия век в армията. Според тези модели обект (потребител, заявление, процес, или мрежа за пакети) се разрешава или отказва достъп до всеки обект (като например файл или мрежов възел) при представяне на едно уникално, присъща само на тази тема елемент. В 80% от случаите, този елемент е паролата. В други случаи, като уникален елемент е таблетката Touch Memory, Smart или Proximity карти, биометрични характеристики на потребителя и т.н. За такъв елемент пакет адрес на мрежа или флагове се намира в заглавната част на пакета и някои други параметри.

Може да забележите, че най-слабото звено в тази схема е уникален елемент. Ако нарушител някак си това много елемент и показа на защитната стена, той я вижда като "техните" и разрешителни за експлоатация в рамките на правата на субекта, на таен елемент, който незаконно се възползвали. Към настоящия темп на развитие на технологиите, за да получат достъп до тази тайна елемент не е твърде трудно. Тя може да "подслушва" на преносната мрежа с анализатор протокол, включително вградени операционни системи (например Network Monitor в Windows NT 4.0). Той може да избере с помощта на специални програми, достъпни в интернет, например с помощта на l0phtcrack Crack или за Windows за Unix.

По този начин, дори и най-ефективен и надежден защитната стена не осигурява защита срещу проникването на корпоративната мрежа на нарушителя, ако последният не е в състояние да вземе или открадне паролата на оторизиран потребител. Освен това, защитната стена не дори определи нарушенията, тъй като за него нарушител, който е откраднал паролата е оторизиран потребител.

Всяка организация има потребители с практически неограничени права на мрежата. Това мрежови администратори. Те са извън контрола на никого и може да направи мрежата почти нищо. Обикновено, те използват своя неограничено право да изпълняват своите задължения. Но представете си за момент, че администраторът има нещо боли. Независимо дали става дума ниски заплати, подценяване на възможностите си, поставете т.н. Има случаи, когато такива администратори обидени "развалят кръвта," не е от фирмата и са довели до много сериозни наранявания. Въпреки това, той е бил уволнен. Три дни след изписването му, той отиде да работи и получи достъп до мрежата на компанията, отстранява 168,000 записи на осигуряване и защита на база данни търговски сделки. След това той се впусна в мрежата на няколко червеи, които са били, за да продължите да се отстранят подобни записи в бъдеще.

Тези примери показват, че дори и най-ефективна защитна стена не е в състояние да защити корпоративната мрежа, ако го нападнат администратор нея.

ПРОБЛЕМИ НА ИЗГРАЖДАНЕ НА бягства

Нека разгледаме по-подробно какво да възникнат проблеми при изграждането на защитни системи. В същото време, ние не разглеждаме само проблема за сигурна връзка към интернет, и контрол на достъпа в корпоративна мрежа.

Първо, очевидно изискването за такива системи е да се осигури безопасността на вътрешния (защитена) мрежа и пълен контрол над външните връзки и комуникации.

Второ, системата трябва да имат защитни мощни и гъвкави средства за контрол на един прост и пълна реализация на политиката за сигурност на организацията, и в допълнение, за да се осигури една проста система за преконфигуриране на промените в структурата на мрежата.

На трето място, системата за екраниране трябва да работи безпроблемно с локалната мрежа и да не възпрепятстват изпълнението на правното действие.

На четвърто място, системата за екраниране трябва да работи ефективно и да бъде в състояние да обработва всички входящия и изходящия трафик на "пиковите" режими. Това е необходимо, за да се гарантира, че защитната стена не може да бъде, образно казано, "хвърлят" много обаждания, което би довело до нарушаване на нейната работа.

Пето. система за сигурност трябва да бъдат много добре защитен от всякакви неоторизирани действия, защото това е ключът към поверителна информация в организацията.

Шеста. В идеалния случай, ако вашата организация има множество външни връзки, включително и тези в отдалечени места, система за контрол на екрана трябва да бъде в състояние да им осигури централизирано внедряване на единна политика за сигурност.

Седмата. Firewall система трябва да има указание за разрешение за достъп с помощта на външни връзки. Типичен случай е, когато част от персонала на организацията трябва да отидете, например, за бизнес пътувания, както и в процеса те, на nemenie изисква достъп до най-малко някои ресурси на вътрешната компютърна мрежа на организацията. Системата трябва да е в състояние надеждно откриване на такива потребители и да им предоставят необходимия достъп до информация.

Класическият пример, който бихме искали да илюстрира всички по-горе принципи е софтуерен пакет Solstice FireWall-1 в Sun Microsystems. Този пакет е бил многократно белязана от награди на изложби и конкурси. Той има много полезни функции, които го правят се открояват сред подобни продукти работа.

Помислете за основните компоненти на Solstice защитна стена-1 и функциите, които те изпълняват.

Централно място в системата на FireWall-1 е блока за управление на целия комплекс. С този модул, администраторът работи на сигурността на мрежата. Имайте предвид, че предвидливост и удобство контрол GUI модул е ​​посочено в много независими проучвания на този клас продукти.

Administrator Network Security, за да изберете комплекс FireWall-1 трябва да изпълни следната поредица от действия:

- Идентифициране на обектите, включени в процеса на обработка на информацията. Това се отнася за потребители и групи от потребители, компютри и групи, рутери и различни подмрежи на локална мрежа.

- Опишете мрежовите протоколи и услуги, които ще пуснете приложението. Въпреки това, обикновено е достатъчен набор от повече от 40 описания доставени с FireWall-1 система.

- Освен това, чрез въвеждане на понятията политика за контрол на достъпа е описана по следния начин: "Група A потребителя е позволено достъп до ресурс B чрез услуга или протокол В, но е необходимо да се направи бележка в дневника." Събирането на тези записи е компилиран в изпълнима форма на блока за управление и след това предава на изпълнението в модула за филтрация.

модули за филтриране могат да бъдат разположени на компютри - посветен сървъри или портали - или маршрутизатори, като част от информацията за конфигурацията. В момента поддържаме следните два вида рутери: Cisco IOS 9.x, 10.x, и BayNetworks (Wellfleet) OS v.8.

модули за филтриране сканират всички пакети, които пристигат на мрежовия интерфейс и, в зависимост от определени правила и минали или изхвърлят тези пакети за съответния вписването в регистъра. Следва да се отбележи, че тези модули работят директно с драйвера на мрежовия интерфейс, процесът на целия поток от данни, като пълно познаване на предаваните пакети.

Да разгледаме процеса на практическото прилагане на политики за сигурност на организацията помощта на защитната стена-1 софтуерен пакет.

1. На първо място, разработен и одобрен на ниво ръководство на политиката на организацията за сигурност.

2. След одобрението на тези правила е необходимо да доведе до живот. За да направят това, те трябва да бъдат превърнати в типа на конструкция ", където, когато и по какъв начин е осигурен достъп или, обратно, е забранено. Такива структури са лесно прехвърлени FireWall-1 системата за управление база.

3. След това, въз основа на база правило образува списъци за достъп рутери и сценарии на филтрите на входа мрежа. Списъци и скриптове продължават да бъдат прехвърлени на физическите компоненти на мрежата, а след това на правилата на политиката за сигурност "трябва да влязат в сила."

4. В процеса на пакетни филтри на входа и сървъри генерира запис на всички събития, които са били поръчани за наблюдение, но и предизвиква "предупреждение", което изисква от администратора на незабавен отговор.

5. Въз основа на записи, направени от системата, организацията на отдела за компютърна сигурност може да разработи предложения за промени и по-нататъшно развитие на политиките за сигурност.

Помислете за един прост пример за прилагането на следните правила:

1. От звената LAN, евентуално отдалечени, право да общува с всеки местен мрежов обект след удостоверяване, например, на UNIX-паролата.

2. Всеки, който се забранява достъп до финансовия отдел на мрежата, с изключение на главния изпълнителен директор и директор на Департамента.

3. От Интернет е разрешено само за изпращане и получаване на поща. За всички останали връзка се опитва да направи подробен запис.

Всички тези правила са представени по естествен начин с помощта на правилата на GUI редактор на FireWall-1.

След правила за товарене, FireWall-1 за всеки пакет се предава по мрежата, последователно през списъка с правила, за да открие най-елемент, съответстващ на настоящия случай.

Така че, Firewall-техника, много същество е абсолютно безпогрешен, и логично. Основната й принцип е да се предвиди специален бастион (бастион домакин), натоварен със задачата да гарантира контрола и сигурността на мрежата сегмент от защита, и чрез които връзката на сегмента на външния свят

ЗАКЛЮЧЕНИЕ

Защитните стени не гарантират адекватно ниво на защита на корпоративни мрежи. Въпреки, че в никакъв случай те не могат да бъдат изоставени. Те ще ви помогнат да осигури необходимата, но не достатъчно ниво на защита на корпоративни ресурси. Както вече бе отбелязано, традиционните средства, които могат да бъдат приписани, и защитните стени са изградени на базата на модели, разработени по време, когато мрежата не е широко достъпна и методи за атаки срещу тези мрежи не са били толкова развити, както е сега. За най-подходящото ниво, за да се противодейства на тези атаки, трябва да се използват нови технологии. Например, технологията за откриване на атаки (за откриване на проникване), което е активно развиващите се в чужбина и преди няколко години, падна в Русия. Тази технология, която е виден представител на семейството на средства RealSecure компания Internet Systems Security, може ефективно да се допълнят съществуващите защитни стени, осигуряване на по-високо ниво на сигурност.





; Дата: 04.01.2014; ; Прегледи: 929; Нарушаването на авторските права? ;


Ние ценим Вашето мнение! Беше ли полезна публикуван материал? Да | не



ТЪРСЕНЕ:


Вижте също:



zdes-stroika.ru - Studopediya (2013 - 2017) на година. Тя не е автор на материали, и дава на студентите с безплатно образование и използва! Най-новото допълнение , Al IP: 66.102.9.22
Page генерирана за: 0.069 сек.